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Die folganden Angaban sind dan vom Anmaldar aingaraichtan Unterlagen antnomman 

Prufungsantrag gem. § 44 PatG ist gestellt 
(§) Sichere Passworteingabe 

(§7) Die Erfindung sieht eine Einrichtung fur eine sichere 
Passworteingabe durch Verwendung von kryptographi- 
schen Funktionen vor. Diese Einrichtung ist beim Zugriff 
auf Computer und Programme anzuwenden. Nach einer 
Anforderung vom Programm E wird ein Passwort p ein- 
gelesen, indem ein prog ram mspezifisches Identifizie- 
rungszeichen H(E) vom Programm E empfangen wird, 
das das Passwort p empfangt und wenigstens von dem 
program mspezifischen Identifizierungszeichen H(E) und 
dem empfangenen Passwort p ein prog ram m-passwort- 
spezifisches Identifizierungszeichen F(H(E), p) erzeugt 
wird. Das programm-passwortspezifische Identifizie- 
rungszeichen F(H(E), p) wird an das Programm E gesen- 
det, das dann das programm-passwortspezifische Identi- 
fizierungszeichen F(H(E), p) weiterverarbeitet. 



< 
o 



LU 

Q 




BUNDESDRUCKEREI 08.01 101 390/961/1 



14 



DE 101 
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Beschreibung 

TECHNISCHER BEREICH 

Die vorliegende Erfindung bezieht sich auf eine sichere 
Passworteingabe. Die Erfindung bezieht sich insbesondere 
auf ein Verfahren und ein Gerat, um ein Passwort auf sichere 
Art und Weisc einzulescn. 

HINTERGRUND DER ERFINDUNG 

Passworter und Passwortschutzschemata werden gemein- 
hin benutzt, um Zugriff auf Computersysteme und -pro- 
gramme zu erhalten. Jedesmal, wenn ein Benutzer den 
Computer oder das Programm benutzen mochte, wird er 
bzw, sie aufgefordert, ein Passwort einzugeben. 1st das Pass- 
wort giiltig, darf der Benutzer auf die Daten zugreifen bzw. 
die Programme ausfiihren. Personen, die kein gultiges Pass- 
wort eingebcn, wird der Zugriff auf Daten odcr Programm- 
informationen verweigert. Auf diese Weise sollte ein Pass- 
wortschutzsystem die eigenen oder vertraulichen Informa- 
tionen, die im Computer gespeichert sind, schutzen und die 
unberechtigte Nutzung verhindern. 

Da ein Benutzer mit mehreren Computem und Program- 
men arbeitct, muss er sich viele Passworter merken. Vielc 
neigen dazu, Passworter versehentlich oder absichtlich wie- 
der zu verwenden, was zu Sicherheitsproblemen fuhrt. 

Die meisten Personalcomputer (PCs) und Laptops konnen 
das Sicherheitsproblem nicht hinreichend 16sen, indem sie 
lcdiglich nach einem Passwort fragen. PC-Betriebssysteme, 
die mit moderner Hardware einschlieBlich DOS, Windows 
und MacOS laufen, wurden von einer Virusinvasion, von 
Trojanischen Pferden und anderer heimtiickischer Software, 
auch Malware (malicions software) genannt, uberrannt. 
Freigabe und Benutzung solcher Malware sind im wesentli- 
chen eine Form des Vandalismus und seine Gefahr nimmt 
mit der Benutzung des Internets zu. Das Sicherheitsrisiko, 
die oben erwahnten Trojanischen Pferde herunterzuladen, 
wird immer groBer, breitet sich immer mehr aus und wird oft 
unterschatzl. Solche Trojanischen Pferde sind heimtiicki- 
schc Dateien oder Programme, die, wenn sie ausgcfuhrt 
werden, als gutartige Anwendung maskiert sind, und Pro- 
gramme oder sogar das gesamte System kontrollieren konn- 
ten. Andere heimtuckische Programme versuchen, Anmel- 
denamen und Passworter zu stehlen. Diese Passworter wer- 
den dann oft an anonyme E-Mail-Adresscn geschickt. Ein 
Trojanisches Pferd ist im allgemeinen ein Programm, das 
sich falschlicherweise selbst so darstellt, als wurde es niitz- 
liche Dienste leisten. 

Tatsache ist, dass der Benutzer oft nicht genau weiss, ob 
er bzw. sie das Passwort in das richtige System oder Pro- 
gramm eingegeben hat. In einem weiteren sicherheitspro- 
blematischen Beispiel zeigt der Bildschirm beim Einschal- 
ten des Computers die Anzeigedaten an, die im Bildspeicher 
gespeichert sind. Daher kann jedermann Informationen zu 
der unterbrochenen Datenverarbeitung aus den Anzeigeda- 
ten erhalten, die im Hintergrund des Passworteingabefen- 
sters angezeigt werden. Anders ausgedriickt, kann ein unbe- 
rechtigter Benutzer die Informationen ohne Eingabe eines 
Passworts erhalten. Fur einen unberechtigten Benutzer ist es 
andererseits moglich, das registrierte Passwort in vielen Sy- 
stemen herauszufinden, indern er wiederholt ein zufallig 
ausgewahltes Passwort eingibt. 

Der GroBenfaktor und die Verwendungsmerkmale von 
Handgeraten, zum Beispiel personliche digitale Assistenten 
(Personal Digital Assistants), kurz PDAs genannt, machen 
ihrcn Einsatz in E-Commcrcc-Anwendungcn sehr attraktiv. 
Das vorteilhaf teste Merkmal dieser PDAs liegt darin, dass 



10 316 A 1 

2 

jedermann sie problemlos durch ein f ache Bedienung an je- 
dem beliebigen Platz nutzen kann. Andererseits wird durch 
die weite Verbrcitung der PDAs die Moglichkeit groBer, 
dass geheime Informationen verarbeitet werden. Deshalb 
5 sind ausreichende Betrachtungen im Hinblick auf die Si- 
cherheitsfunktion notwendig. Normalerweise wird die Si- 
cherheitsfunktion dadurch erreicht, dass der PDA so pro- 
grammiert wird, dass bei jedem Einschalten die Passwort- 
cingabe gepruft wird. Bei dieser Passwortpriifung wird die 
io Eingabe eines Passworts unmittelbar nach dem Einschalten 
verlangt. AnschlieBend wird gepruft, ob das eingegebene 
Passwort mit einem zuvor registrierten Passwort iiberein- 
stimmt. Bei ubereinstimmenden Passwortem beginnt der 
PDA oder Personalcomputer nach einer vom Bediener ein- 
15 gegebenen Anweisung mit der Datenverarbeitung. Leider 
bieten die aktuellen PDA-Betriebssysteme nicht die notwen- 
dige Sicherheit fur E-Commerce-Anwendungen. Tatsache 
ist, dass die PDAs leistungsfahig sind und die Universal- 
rechner sie fur Angriffe anfallig machen. Auf PDAs basie- 
20 rende E-Commerce-Systeme sind moglicherweise fiir eine 
ganze Reihe von Angriffen anfallig, durch die auch andere 
integrierte Systeme, zum Beispiel Chipkarten, gefahrdet 
werden konnen. 

Wenn man diese Systeme fiir wirtschaftlich bedeutungs- 
25 voile Transaktionen benutzt, bedeutet dies einen weit groBc- 
ren Nutzen und somit fiir einen Angreifer einen groBeren 
Anreiz. Es besteht daher ein wesentlicher Bedarf an Sicher- 
heit, wodurch sich die Nachfrage nach einem geeigneten, si- 
cheren Passworteingabesystem ergibt. 
30 Die US Patentschrift Nr. 5,931,948 bezieht sich auf ein 
tragbares Computersystem mit Passwortkontrollmitteln zum 
Behalten von einem oder mehreren Passwortem, so dass die 
Passworter bei direktem Zugriff von einem Hauptrechner 
unlesbar sind. 

35 In der US Patentschrift Nr. 5,09 1 ,939 werden ein Verfah- 
ren und eine Vorrichtung zum Passwortschutz eines Compu- 
ters beschrieben. Darin wird die Passworteingabe des Be- 
nutzers mit dem Wert eines zweiten Passworts, das vom 
Computer behalten wird, und dem Wert des vom Benutzer 
40 gespeicherten ersten Passworts verglichcn. Der Benutzer 
kann somit auf den Computer zugreifen, wenn sein erstes 
Passwort falsch ist, oder er es vergessen hat, indem er vom 
Computerhersteller ein alternatives Passwort erhalt, das zu 
dem zweiten, vom Computer generierten oder gespeicherten 
45 zweiten Passwort passt. Die Funktion des Verfahrens und 
der Aufbau der Vorrichtung sorgen dafur, dass die zweiten 
und alternativen Passworter fur eine begrenzte Zeit giiltig 
sind und somit die voile Integritat des Passwortschutzsy- 
stems erhalten bleibt. 

50 

GEGENSTAND DER ERFINDUNG 

Es ist ein Gegenstand der vorliegenden Erfindung, die 
Nachteile im Stand der Technik zu iiberwinden und Sicher- 
55 heit von passwortgeschutzten Computern und Programmen 
zu verbessern. 

Es ist ein weiterer Gegenstand der vorliegenden Erfin- 
dung, ein sicheres Passworteingabesystem bereitzustellen, 
das heimtuckische Programme entlarvt, wie zum Beispiel 
60 Trojanische Pferde, und ihre Ausfiihrung verhindert. 

Es ist noch ein weiterer Gegenstand der vorliegenden Er- 
findung zu erreichen, dass ein eingegebenes Passwort so co- 
diert wird, dass es unmoglich ist, dieses Passwort wiederzu- 
finden. 

65 Es ist ein weiterer Gegenstand der vorliegenden Erfin- 
dung zu erreichen, dass ein Benutzer sich an das Passwort zu 
erinnern hat und nur ein Passwort fur mchrcre Computer 
oder Programme anwendet, da dies Sicherheit bietet. 
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Es ist noch ein weiterer Gegenstand der vorliegenden Er- 
findung, einen Personalcomputer bereitzustellen, der ein 
Passwort sicher einlcsen kann. 

GLOSSAR 

Im folgenden sind informelle Definitionen aufgefiihrt, die 
zurn Verstiindnis der nachstehenden Beschrcibung beitra- 
gen. 

Die Hash-Funktion ist eine wirksame Computerfunktion, 
die binare Zeichenketten von beliebiger Lange als binare 
Zeichenketten in fester Lange abbildet. 

Die One-Way-Hash-Funktion ist eine Funktion, die eine 
Meldung M oder einige Daten mit variabler Lange nimmt 
und einen Festlangenwert errechnet, auch Hash-Identifizie- 
rungszeichen oder spezifisches Identifizierungszeichen ge- 
nannt. Fur ein gegebenes spezifisches Identiflzierungszei- 
chen ist es computertechnisch nicht moglich, eine Meldung 
mit diesem spezifischen Identifizierungszeichen zu finden. 
Tatsachlich kann man mit diesem spezifischen Identifizie- 
rungszeichen keine brauchbaren Informationen iiber die 
Meldung M finden. Anders ausgedriickt, braucht es wesent- 
lich weniger Zeit, ein solches spezifisches Identifizierungs- 
zeichen zu erstellen als die Meldung mit variabler Lange aus 
dem spezifischen Identifizierungszeichen zu rekonstruicrcn. 
AuGerdem dauert es wesentlich langer, zwei identische spe- 
zifische Identifizierungszeichen zu finden als ein spezifi- 
sches Identifizierungszeichen zu erstellen. 

Die Trusted Computing Base (TCB) bezeichnet alle 
Schutzsystcme innerhalb eines Computersystcms, ein- 
schlieBlich Hardware, Firmware und Software, die in der 
Kombination fur die Unterstiitzung einer Sicherheitsstrate- 
gie verantwortlich sind. 

ZUSAMMENFASSUNG UND VORTEILE DER ERFIN- 
DUNG 

Die Gegenstande der Erfindung werden durch die in den 
beiliegenden unabhangigen Anspruchen aufgefiihrten 
Merkrnalc errcicht. Weitcre vorteilhafte Implementierungen 
und Ausfuhrungsbeispiele der Erfindung sind in den jeweili- 
gen Unteranspriichen beschrieben. 

Die Erfindung stellt ein allgemeines und flexibles System 
fur eine sichere Passworteingabe bereit. Dieses System ist 
auf den Zugriff von Computern und Programmen anwend- 
bar. Wenn auf einen Computer Bezug genommen wird, ist 
jede Art von Computer gemeint, der eine Trusted Compu- 
ting Base, kurz TCB genannt, hat. Ein solcher Computer 
kann Mitglied eines Netzwerks sein und mehrere sichere 
Domanen (domains) oder Anwendungen unterstutzen. 

Die Grundidee der Erfindung ist, dass ein Computer eine 
kryptographische Funktion benutzt, um das eingegebene 
Passwort in einen im wesentlichen einzigartigen Namen zu 
konvertieren, wobei eine sichere Passworteingabe von der 
Trusted Computing Base unterstiitzt und dem Benutzer 
durch ein Signal - vorzugsweise ein optisches Signal - an- 
gezeigt wird. 

Eine solche kryptographische Funktion kann eine krypto- 
graphische Kontrollsumme sein, auch One-Way-Hash- 
Funktion genannt, um automatisch ein programmspezifi- 
sches Identifizierungszeichen von eincrn Programm, wel- 
ches ein Passwort verlangt, und ein sogenanntes programrn- 
/passwortspezifisches Identifizierungszeichen von dem pro- 
grammspezifischen Identifizierungszeichen und dem einge- 
gebenen Passwort zu erzeugen. Diese Identifizierungszei- 
chen oder Namen werden durch die Anwendung einer Hash- 
Funktion crhalten. Die Namen werden im allgemeinen von 
der Trusted Computing Base oder genauer gesagt von einem 



Betriebssystem erzeugt, wobei ein Generatormodul einge- 
setzt wird. Die kryptographische Funktion erfullt wenig- 
stens die folgenden Kriterien. Rs braucht wesentlich weni- 
ger Zeit, solch ein spezifisches Identifizierungszeichen zu 

5 erstellen als das Programm oder Teile davon aus dem spezi- 
fischen Identifizierungszeichen zu rekonstruieren. AuBer- 
dem dauert es wesentlich langer, zwei identische spezifische 
Identifizierungszeichen zu finden als ein spezifisches Identi- 
fizierungszeichen zu erstellen. 

io Der Ablauf ist wie folgt. Das Programm, das ein Passwort 
verlangt, sendet eine Meldung, in der wenigstens sein er- 
zeugtes programmspezifisches Identifizierungszeichen ent- 
halten ist an ein Passwortleseprogramm, das vom Betriebs- 
system bereitgestellt wird. Das Passwortleseprogramm fragt 

15 nach einem Passwort, und wahrend dieses Programm das 
Passwort einliest, wird dem Benutzer ein sicherer Eingabe- 
modus signalisiert. Das prograrnmspezifische Identifizie- 
rungszeichen wird dann zusammen mit dem empfangenen 
Passwort in das programm-/passwortspezifischc Identifizie- 

20 rungszeichen umgewandelt. Dieses umgewandelte Identifi- 
zierungszeichen wird an das Programm gesendet, das es als 
das angeforderte Passwort verarbeitet oder weiterleitet. 

Das vorliegende System zeichnet sich durch eine Reihe 
von Vortcilen aus. Es kann weder vcrfalscht noch durch- 

25 schnuffelt oder verschleicrt werden. Das System bescitigt 
auBerdem das Problem der Trojanischen Pferde und ermog- 
licht es, dass jeder Anwendung oder jedem Programm, die 
bzw. das ein Passwort verlangt, ein einziges Passwort gege- 
ben wird, wahrend sich der Benutzer nur ein Passwort mer- 

30 ken muB. Anders ausgedriickt, kann ein einzelncs Passwort 
auf eine vollig sichere Art und Weise von mehreren ver- 
schiedenen Anwendungen oder Programmen gemeinsam 
benutzt werden. Die Vertrauenswurdigkeit von Computern 
kann im allgemeinen erhebiich verbessert werden, und sie 

35 konnen zu sicheren und zuverlassigen Geraten gemacht 
werden. Daher konnen mehrere Domanen oder Anwendun- 
gen im selben Computer laufen, ohne dass sie von ungesi- 
cherten Programmen angegriffen werden konnen. 

Durch den Einsatz dieses Systems konnen unkontrollierte 

40 und moglicherweise ungesichertc Programme, wie zurn Bei- 
spiel verdachtigc und angreifende Programme, keine Kon- 
trolle iiber den Computer erlangen oder die empfindlichen 
Programme oder Daten storen. 

Wenn das programmspezifische Identifizierungszeichen 

45 abgeleitet wurde, indem eine erste kryptographische Funk- 
tion auf das Programm angewendet wird, das ein Passwort 
verlangt, und das programnv/passwortspezifische Identifi- 
zierungszeichen erzeugt wird, indem eine zweite kryptogra- 
phische Funktion auf das programmspezifische Identifizie- 

50 rungszeichen und wenigstens ein Teil des empfangenen 
Passworts angewendet wird, dann hat das den Vorteil, dass 
ein im wesentlichen einzigartiger Wert, der betrachtet wer- 
den kann, als konvertiertes, im wesentlichen einzigartiges 
Passwort bereitgestellt werden kann. Dies ist nur von dem 

55 Programm verwendbar, das das Passwort angefordert hat. 
Die erste kryptographische Funktion bzw. die zweite 
kryptographische Funktion enthalt vorzugsweise eine One- 
Way-Hash-Funktion, beispielsweise MD5 oder SHA-1. 
Dennoch konnen die angewendeten Hash-Funktionen auch 

60 identisch sein. Diese Hash-Funktionen sind bekannt, arbei- 
ten zuverlassig und konnen verarbeitet werden, d. h. im Mil- 
lisekundcnbcrcich auf Daten oder Programme angewendet 
werden, ohne bemerkenswerte Auswirkungen auf den Be- 
nutzer oder die Rechenzeit im allgemeinen zu haben. Es ist 

65 auch moglich, die kryptographische Funktion auf wenig- 
stens einen Teil des Programmcodes oder der Daten anzu- 
wenden. 

Es hat sich bewahrt, wenn das Passwortleseprogramm 
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und das programmspezifische Identifizierungszeichen mit- 
tels einer Trusted Computing Base (TCB) - fur beide vor- 
zugswcisc dicselbe TCB - bcreitgestcllt werden, da dann 
der Umgebung vertraut und die Sicherheit erhoht werden 
kann. 5 

Es hat sich auch bewahrt, wenn alle E/A-Einheiten, mit 
Ausnahme des Passworteingabegerats, gesperrt sind und an- 
dere, im Computer laufende Programme gesperrt sind, wah- 
rend das Passwortlcscprogramrn ausgefuhrt und das Pass- 
wort empfangen wird. to 

Die Tatsache, dass das Passwortleseprogramm basierend 
auf der TCB ausgefuhrt wird, wird fiber ein Signal ange- 
zeigt. Wahrend beispielsweise das Passwortleseprogramm 
das Passwort empfangt, zeigt eine LED einen sicheren Ein- 
gabemodus an. Der Benutzer wird so informiert, dass er das 15 
Passwort in das richtige Programrn eingibt. 

Wird das programnWpasswortspezifische Identifizie- 
rungszeichen von dem programmspezifischen Identifizie- 
rungszeichen, dem empfangcncn Passwort und einem zu- 
satzlichen Wert errechnet, dann hat das den Vorteil, dass die- 20 
ses programm-/passwortspezifische Identifizierungszeichen 
das Gerat oder den Computer angibt, in dem das programm- 
/passwortspezifische Identifizierungszeichen erzeugt wird. 
Wenn jemand die Passworteingabc beobachtet und das Pass- 
wort wissen mochte, dann kann dieses Passwort jedoch 25 
nicht in einem anderen Gerat oder Computer benutzt wer- 
den. 

Es ist moglich, das programm-/passwortspezifische Iden- 
tifizierungszeichen als Schliissel zu benutzen, um ein ande- 
res Programrn zu entschliisseln. Da das programm-/pass- 30 
wortspezifische Identifizierungszeichen ein im wesentlichen 
einzigartiger Wert ist, ist der Schliissel sicher und kann nur 
von dem Gerat des Benutzers erzeugt werden. 

In die Trusted Computing Base sollte ein Hash-Funkti- 
onsgcnerator eingesctzt werden, so dass das programmspe- 35 
zifische Identifizierungszeichen und das programm-/pass- 
wortspezifische Identifizierungszeichen abgeleitet und so 
fiir die Trusted Computing Base automatisch bereitgestellt 
werden. Ausgehend von der grundlegenden Sicherheitspoli- 
tik kann die Trusted Computing Base von einem Angreifer 40 
weder umgangen noch unterlaufen werden. 

BESCHREIBUNG DER ZEICHNUNGEN 

Die Erfindung wird nachfolgend detailliert mit Bezug auf 45 
die bciliegenden, schcmatischen Zeichnungen beschrieben, 
wobei: 

Fig. 1 ein Blockdiagramm von einem Computersystem 
gemaB der vorliegenden Erfindung zeigt; 

Fig. 2 eine schematische Darstellung von einer Passwort- 50 
eingabe gemaB der vorliegenden Erfindung zeigt, und 

Fig. 3 eine schematische Darstellung von einer anderen 
Passworteingabe zeigt, in die ein heimtuckisches Programrn 
verwickelt ist. 

Alle Figuren sind zum Zwecke der Klarheit weder mit ih- 55 
ren tatsachlichen MaBen abgebildet noch sind die Beziehun- 
gen zwischen den MaBen in einem realistischen Mafistab 
dargestellt. 

DETAILLIERTE BESCHREIBUNG DER ERFINDUNG 60 

Es wird allgemein auf die Figuren und spcziell auf Fig. 1 
Bezug genommen, wobei die wesentlichen Funktionsmerk- 
male eines sicheren Passworteingabesystems fur Computer 
mittels kryptographischer Funktionen nachstehend ausfuhr- 65 
licher beschrieben ist. Zuerst werden einige allgemeine 
Punkte bchandelt. 
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Hash-Funktion 

Eine Hash-Funktion ist eine wirksame Computerfunk- 
tion, um binare Zeichenketten von beliebiger Lange als bi- 
nare Zeichenketten von fester Lange abzubilden. 

One-Way-Hash-Funktion 

Eine One-Way-Hash-Funktion ist cine Funktion, die eine 
Meldung von variabler Lange nimmt und einen Festlangen- 
Hash oder Festlangenwert errechnet. Somit ist h = H(M), 
wobei H die One-Way-Hash-Funktion ist, M die Meldung 
und h der Hash- Wert fur die Meldung M ist. Mit Hash h ist 
es rechnerisch nicht moglich, eine Meldung M mit diesem 
Hash zu finden. Mit diesem Hash kann man tatsachlich 
keine brauchbaren Informationen fiber eine Meldung M fin- 
den. Bei einigen One-Way-Hash-Funktionen ist es auch 
rechnerisch unmoglich, zwei Meldungen zu finden, die den- 
selben Hash erzeugen. Eine One-Way-Hash-Funktion kann 
auBerdem geheim oder offentlich sein, genau wie eine Ver- 
schlusselungsfunktion. MD5, SHA-1 und Snefru sind Bei- 
spiele von offentlichen One-Way-Hash-Funktionen. 

Wird eine solche One-Way-Hash-Funktion auf ein Pro- 
gramrn E angelegt, das irgendein Programrn sein kann, dann 
ist die Ausgabeg der Hash-Wert h, ein im wesentlichen ein- 
zigartiger Wert, der auch programmspezifisches Identifizie- 
rungszeichen genannt wird. Dieses programmspezifische 
Identifizierungszeichen kann auch als Name betrachtet wer- 
den, der dem spezifischen Programrn E gegeben wird. An- 
ders ausgcdruckt, kann das Programrn E, das als Bytestrom 
E = (bo, bi, D2 usw.) angezeigt werden kann, seinem im we- 
sentlichen einzigartigen Namen H(E) zugeordnet werden. 
Somit lauft das Programrn E unter dem Label H(E). Auf vor- 
handene Daten, die vom Programrn E erstellt wurden, kann 
nur im Programrn E zugegriffen werden, und sic tragen auch 
den Namen oder das programmspezifische Identifizierungs- 
zeichen H(E). 

Wird beispielsweise die oben erwahnte One-Way-Hash- 
Funktion SHA-1 benutzt, liegt die Wahrscheinlichkeit, zwei 
identische programmspezifische Identifizierungszeichen zu 
finden, bei etwa 1 bis 2 80 , und die Wahrscheinlichkeit, in ei- 
nem bestimmten Programrn ein anderes Programrn mit dem- 
selben programmspezifischen Identifizierungszeichen zu 
finden, bei ca. 1 bis 2 160 . 

Trojanische Pferde 

Benutzer geraten normalerweise durch das Herunterladen 
eines Programms, beispielsweise aus dem Internet, das si- 
cher zu sein scheint oder dem Benutzer zum Beispiel freie 
Onlinezeit verspricht, an die sogenannten Trojanischen 
Pferde. Sobald es heruntergeladen ist und ausgefuhrt wird, 
begin nt der heimtuckische Code zu arbeiten. Der Unter- 
schied zwischen Trojanischen Pferden und herkommlichen 
Computerviren ist, dass sich die Trojanischen Pferde nicht 
von alleine wiederholen oder verbreiten. Sie konnen nur ab- 
sichtlich fiber E-Mail oder Diskette ubertragen oder direkt 
auf einen PC heruntergeladen werden. Das heiBt, dass, an- 
ders als bei herkommlichen Computerviren, die Benutzer 
normalerweise nur von einem spezifischen Trojanischen 
Pferd bctrofien sind, Dadurch kann abcr in bezug auf die Si- 
cherheit und den Vcrlust von Daten ein groBer Schaden ver- 
ursacht werden. 

Trusted Computing Base (TCB) 

Unter Trusted Computing Base, kurz TCB genannt, ver- 
steht man die Gesamtheit der Schutzmechanismen innerhalb 
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eines Computersystems, einschlieBlich Hardware, Firmware 
und Software, die in der Kombination fiir die Unterstiitzung 
eincr Sicherhcitsstrategie vcrantwortlich sind. Tcil dcr Tru- 
sted Computing Base ist ein Betriebssystem. Die Sicher- 
heitsstrategie verlangt, dass die Trusted Computing Base 
weder umgangen noch unterlaufen werden kann, d. h. sie ist 
vor Angriffen sicher. 

Das vorlicgende sicherc Passwort eingabcsystem kann im 
allgemeinen in Computern und Computcrsystemcn bcnutzt 
werden. Wenn auf einen Computer Bezug genommen wird, 
ist irgendein Gerat gemeint, das Teil eines lokalen Netz- 
werks sein kann. Zum Beispiel die folgenden Gerate: Lap- 
tops, Workpads, Notepads, personliche digitale Assistenten 
(PADs), Notebooks und sonstige tragbaren Computer, 
Tischgerate, Computerterminals, Netzwerkcomputer, Inter- 
netterminals und sonstige Computersysteme, Set-Top-Bo- 
xen, Registrierkassen, Streifencodescanner, Kassentermi- 
nals, Auskunftssysteme, Mobiltelefone, Pager, Armbanduh- 
ren, Digitaluhren, Auswcise, Chipkarten und sonstige Hand- 
gerate und integrierte Gerate. Weitere Gerate, die beriick- 
sichtigt wurden, sind enthalten in: Kopfhorern, Human In- 
terface Device (HID), passenden Peripheriegeraten, Daten- 
und Sprachzugriffspunkten, Kameras, Druckern, Faxgera- 
tcn, Tastaturen, Joysticks, Kiichengeratcn, Werkzeugen, 
Sensorcn wie bcispielsweise Rauch- bzw. Brandmcidern 
und praktisch in sonstigen digitalen Einheiten. 

Weitere Beispiele fiir tragbare Computer, die in Verbin- 
dung mit der vorliegenden Erfindung benutzt werden kon- 
nen, ist personliches Eigentum, das mit computerahniicher 
Hardware ausgeriistet ist, wie bcispielsweise ein clektroni- 
sches Portemonnaie ("Smart Wallet"-Computer), Schmuck 
oder Kleidungsstiicke. AuBer einem elektronischen Porte- 
monnaie gibt es eine Reihe verschiedener tragbarer Compu- 
ter. Ein Beispiel fur die Vielfalt an tragbaren Computern ist 
ein "Gurter'-Computer ("belt" computer), mit dcm der Be- 
nutzer surfen, diktieren und Dokumente bearbeiten kann, 
wahrend er unterwegs ist. Ein weiteres Beispiel ist ein Kin- 
dercomputer, der mit einem personlichen digitalen Assisten- 
ten fiir Grundschulkinder vergleichbar ist. Der Kindercom- 
puler kann Aufgaben enthalten, Rechenaufgaben durchfiih- 
ren und Kindcm helfcn, ihrc Hausaufgaben zu verwalten. Er 
kann mit anderen Kindercomputem verbunden werden, um 
die Zusammenarbeit zu erleichtern, und er kann auf den 
Computer eines Lehrers zugreifen, um Aufgaben oder 
Riickmeldungen (Feedbacks) herunterzuladen. Ein tragba- 
res Gerat, ein Burogerat oder eine Buroanlagc, cin Heimge- 
rat oder eine Heimanlage, Systeme zum Einsatz in Fahrzeu- 
gen oder Systeme zur offentlichen Nutzung (Verkaufsauto- 
maten, Fahrscheinautomaten, automatisierte Kassiereinrich- 
tungen usw.) konnen in Verbindung mit der vorliegenden 
Erfindung benutzt werden. 

Zum Verstandnis der vorliegenden Erfindung zeigt Fig. 1 
ein Blockdiagramm auf hoher Ebene von einem Computer 
2. 

Der Computer 2 enthalt Hardwarekomponenten 4, zum 
Beispiel eine oder mehrere Zentraleinheiten (CPU) 6, ein 
Direktzugriffsspeicher (RAM) 8 und eine Ein-/Ausgabe- 
schnittsteiie (E/A) 10. Der Computer 2 enthalt auch ein Be- 
triebssystem 20, in das ein Generatormodul 22 eingebettet 
ist. Zahlreiche Peripheriegerate sind an den Computer 2 an- 
geschlossen, zum Beispiel Sekundarspeichereinheiten 12, 
wie ein Magnetplattenlaufwerk, Eingaberniltel 14 oder Ge- 
rate wie eine Tastatur, eine Maus, ein Touch Screen, ein Mi- 
krofon oder ein IR- oder HF-Empfanger, Anzeigegerate 16, 
wie ein Monitor oder eine Flussigkristallanzeige (LCD) und 
Ausgabegerate 18 wie Drucker, oder IR- oder HF-Sender. 
Dcr Benutzer gibt cin Passwort p iibcr die Eingabemittel 14 
ein. An die Ein-/Ausgabegerate 14, 18 konnte auch ein 



Chipkartenlesegerat angeschlossen werden. Ein Programm 
24, das zur Eingabe eines Passworts auffordert und ein Emp- 
fangcr 26, auch Passwortlcseprogramm 26 genannt, werden 
im Computer 2 ausgefuhrt. Anzeigemittel 28 sind an das Be- 

5 triebssystem 20 angeschlossen und somit auch an das Pass- 
wortleseprogramm 26, wobei nur das Betriebssystem 20, 
d. h. die TCB, und das Passwortleseprogramm 26 die Anzei- 
gemittel 28 kontrollieren konnen. Diese Anzeigemittel 28 
informieren den Benutzer mit einem Signal, dass das Pass- 

10 wort in das richtige Programm eingegeben wurde. Eine 
Leuchtdiode 28, auch LED 28 genannt, ware geeignet, um 
dem Benutzer ein optisches Signal anzuzeigen. Es kann statt 
dessen jedes passende Signal verwendet werden. 

Die Hardwarekomponenten 4 und das Betriebssystem 20 

15 bilden eine Trusted Computing Base, die die Basis fiir eine 
sichere und verlaBliche Berechnung bildet. In der Trusted 
Computing Base ist das Generatormodul 22 zur Erstellung 
von programmspezifischen Identifizierungszeichen imple- 
inentiert. Dieses Generatormodul 22 ist im Grundc ein kryp- 

20 tographischer Funktionsgenerator 22, der sowohl in der 
Software als auch in der Hardware implementiert werden 
kann. Da die Errechnung eines Hash-Werts mittels einer 
Hash-Funktion, vorzugsweise eine One-Way-Hash-Funk- 
tion wie obcn beschrieben, fur einen Prozessor nicht zcitauf- 

25 wendig ist, ist hier der kryptographische Funktionsgenerator 
22 im Betriebssystem 20 selbst implementiert. Jede krypto- 
graphische Funktion, die einen im wesentlichen einzigarti- 
gen Wert ausgibt, ist geeignet. 

Der Struktur des Computers 2, wie mit Bezug auf Fig. 1 

30 beschrieben, ist als das eigcntliche Gerat anzusehen, das in 
den folgenden Ausfuhrungsbeispielen verwendet werden 
kann. Daher tragen dieselben Komponenten auch dieselben 
Referenznummern. 

Es wird weiter auf Fig. 2 Bezug genommen, die ein 

35 Blockdiagramm auf hoher Ebene von einer Passworteingabc 
gemaB der vorliegenden Erfindung zeigt. Im Betriebssystem 
20 lauft das Programm 24, das die Eingabe eines Passworts 
verlangt und das Passwortleseprogramm 26. Das Passwort- 
leseprogramm 26 wird von der Trusted Computing Base be- 

40 reitgestellt und empfangt das eingegebene Passwort p iiber 
die Eingabemittel 14. Das Programm 24 ist iiber ein Netz- 
werk mit einer Bank 30 verbunden, die zu Beginn die Ein- 
gabe des Passworts verlangt. Ein transformiertes Passwort 
F[H(E), p] wurde bereits in der Bank 30 gespeichert. Nach- 

45 dem die Bank 30 das transformierte Passwort F[H(E), p] an- 
gefordert hat, sendet das Programm 24 diese Anforderung 
an das Passwortleseprogramm 26. Der Einfachheit halber ist 
das Generatormodul 22 in Fig. 2 nicht abgebildet, aber das 
programmspezifische Identifizierungszeichen H(E) und das 

50 programm-/passwortspezifische Identifizierungszeichen 
F[H(E), p] werden von dem Generatormodul 22 erzeugt und 
vom Betriebssystem 20 bereitgestellt. Das Programm 24 
sendet eine Meldung einschlieBlich seines abgeleiteten pro- 
grammspezifischen Identifizierungszeichen s H(E) und die 

55 Anforderung oder die Anfrage fiir die bzw. nach der Pass- 
worteingabe an das Passwortleseprogramm 26, was durch 
den mit H(E) ?p gekennzeichneten Pfeil dargestellt ist. An- 
ders ausgedruckt: die Anforderung nach dem Passwort wird 
gesendet, wobei das Betriebssystem 20 das programmspezi- 

60 fische Identifizierungszeichen H(E), das durch Einsatz des 
Gencratormoduls 22 abgeleitet wurde, und somit die oben 
erwahnte Hash-Funktion zu dem Programm 24 oder wenig- 
stens einem Teil da von hinzufugt. Das Passwortlesepro- 
gramm 26 und das Betriebssystem 20 sorgen dann dafiir, 

65 dass die LED 28 eingeschaltet wird, und alle E/A-Schnitt- 
stellen mit Ausnahme des Passworteingabegerats 14 werden 
gespcrrt, und die andcrcn laufenden Programme werden 
blockiert. Das Passwortleseprogramm 26 erlaubt jetzt, einen 
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Passwortwert oder das kurze Passwort p einzulesen. Da- 
nach, d. h. nachdem das Passwort p im Passwortlesepro- 
gramrn 26 cmpfangcn wurdc, werdcn die Sperren aufgeho- 
ben, und die LED 28 wird ausgeschaltet. Das Generatormo- 
dul 22 wird auf das programmspezifische Identifizierungs- 5 
zeichen H(E) und das Passwort p angelegt, um das pro- 
gramm-/pass worts pezifische Identifizierungszeichen 
F[H(E), p], auch transformierles Passwort F[H(E), p] ge- 
nannt, angelegt. Bei der Gclcgenheit konnen auch Teile des 
programmspezifischen Identifizierungszeichens H(E) bzw. 10 
das Passwort p benutzt werden. Das transformierte Passwort 
F[H(E), p] wird dann vom Passwortleseprogramm 26 an das 
Programm 24 gesendet, was durch den mit F[H(E), p] ge- 
kennzeichneten Pfeil dargestellt ist und an die Bank 30 ge- 
sendet, wo es bei spiels weise mit einem vorgespeicherten 15 
Passwort verglichen wird. 

In einem weiteren Ausfiihrungsbeispiel werden das pro- 
grammspezifische Identifizierungszeichen H(E), das Pass- 
wort p und ein zusatzlicher Wert s - nicht in Fig. 2 abgebil- 
det - von dem Generatormodul 22 transformiert oder umge- 20 
rechnet. Dabei wird das transformierte Passwort F[H(E), p] 
geratespezifisch. Das heiBt, wenn jemand die Passwortein- 
gabe beobachtet und das Passwort kennt, kann er/sie dieses 
Passwort nicht in einem anderen Computer oder Gerat zum 
Anmelden benutzen. 25 

Um das programmspezifische Identifizierungszeichen 
H(E) sowie das programm-/passwortspezifische Identifizie- 
rungszeichen F[H(E), p] zu erzeugen, kann im allgemeinen 
dieselbe kryptographische Funktion angewendet werden. 

Fig. 3 zeigt eine schematische Darstellung von einer an- 30 
deren Passworteingabe, bei der ein heimtuckisches Pro- 
gramm B beteiligt ist. Fig. 3 zeigt ein Personal Device 2, 
beispielsweise den Computer wie er mit Bezug auf Fig. 1 
beschrieben wurde, der an ein Programm A angeschlossen 
ist, das in einer Bank 30 lauft, und das heimtiickische Pro- 35 
gramm, das bei einem Knacker 32 lauft. Fig. 3 zeigt eine er- 
ste Trusted Computing Base, TCBa, die das Personal De- 
vice 2 und das Programm A enthalt, und eine zweite Trusted 
Computing Base, TCBb, die das Personal Device 2 und das 
heimtiickische Programm B enthalt. Das Personal Device 2 40 
ist mit der LED 28 ausgertistet, um die sichere Passwortein- 
gabe anzuzeigen. In diesem Beispiel liegen die Programme 
A, B, die die Passworteingabe verlangen, auBerhalb der Per- 
sonal Device 2 und somit auBerhalb der Trusted Computing 
Base. We aus Fig. 3 ersichtlich ist, sendet das Programm 45 
der Bank 30 eine Passwortanforderung gctpw() zusammen 
mit seinem abgeleiteten programmspezifischen Identifizie- 
rungszeichen H(A) an das Personal Device 2, wie dies durch 
den mit H(A), getpw() gekennzeichneten Pfeil angegeben 
ist. Das heimtiickische Programm B von dem Knacker 32 50 
verlangt andererseits auch ein Passwort, wie dies durch den 
mit H(A), getpwO gekennzeichneten Pfeil angegeben ist. 
Die Personal Device 2 sendet an die Bank 30 eine Meldung 
folgenden Inhalts H(D), H(H(A), p, s), wobei H(A) das pro- 
grammspezifische Identifizierungszeichen des Programms 55 
A, p das eingegebene Passwort und s ein geratespezifischer 
Wert von dem Generatormodul 22 mit der Funktion H trans- 
formiert oder umgerechnet werden, um das transformierte 
Passwort H(H(A), p, s) zu erzeugen. Zum Zwecke der Klar- 
heit ist das Generatormodul 22 in Fig. 3 nicht abgebildet. 60 
Das gerate-/programmspezifische Identifizierungszeichen 
H(D) des Personal Device 2 wird zu dem transformierten 
Passwort H(H(A), p, s) hinzugefugt. Die Personal Device 2 
sendet andererseits an den Knacker 32 eine Nachricht, die 
H(D), H(H(B), p, s) enthalt, wobei H(B) das programmspe- 65 
zifische Identifizierungszeichen des heimtiickischen Pro- 
gramms B, p das eingegebene Passwort und s der gcratcspc- 
zifische Wert vom Generatormodul 22 wiederum mit der 
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Funktion H transformiert oder umgerechnet werden, um das 
transformierte Passwort H(H(B), p, s) zu erzeugen. Es ist 
klar, dass, nachdem der Benutzer das Passwort p eingegeben 
hat, die transformierten Passworter H(H(A), p, s) und 
H(H(B), p, s) nicht mehr dieselben sind. Da das transfor- 
mierte Passwort H(H(B), p, s) nichts iiber das Passwort p 
selbst aussagt, und es unrnoglich ist, das Passwort p aus 
H(H(B), p, s) zu bcrechncn, kann der Knacker 32 mit dem 
transformierten Passwort H(H(B), p, s) nichts anfangen. Die 
Tatsache, dass die Meldungen die jeweiligen programmspe- 
zifischen Identifizierungszeichen H(A), H(B), H(D) enthal- 
ten, kann benutzt werden, um die Gultigkeit von einem Pro- 
gramm zu einem anderen Programm zu uberprufen. Das ge- 
genseitige Vertrauensverhaltnis zwischen verschiedenen 
Programmen kann somit einfach eingerichtet werden. Das 
heiBt beispielsweise, dass die Personal Device 2 eine Liste 
mit programmspezifischen Identifizierungszeichen hat, die 
vertrauenswurdig sind. Anforderungen von unbekannten 
Programmen oder Geraten konnen zuruckgewicsen werden. 

Ein beschriebenes Ausfiihrungsbeispiel kann mit einem 
oder mit mehreren von den abgebildeten bzw. beschriebenen 
Ausflihrungsbeispielen kombiniert werden. Dies ist auch fur 
ein Leistungsmerkmal oder mehrere Leistungsmerkmale 
von den Ausflihrungsbeispielen moglich. 

Die vorliegcnde Erfindung kann in der Hardware, der 
Software oder in einer Kombi nation von Hardware und 
Software ausgefiihrt werden. Jede Art von Computersystem 
oder anderen Vorrichtungen, die zur Ausfiihrung der hier be- 
schriebenen Methoden entsprechend angepasst sind, ist ge- 
eignet. Eine typischc Kombination von Hardware und Soft- 
ware konnte ein Mehrzweckcomputersystem mit einem 
Computerprogramm sein, das, wenn es geladen ist und aus- 
gefuhrt wird, das Computersystem steuert, so dass es die 
hier beschriebenen Verfahren ausfiihren kann. Die vorlie- 
gcnde Erfindung kann auch in einem Computerprogramm- 
produkt eingebettet sein, das alle Leistungsmerkmale ent- 
halt, die die Implementierung der hier beschriebenen Ver- 
fahren ermoglichen, und die, wenn sie in einem Computer- 
system geladen sind, diese Verfahren ausfuhren konnen. 

Computerprogrammittel oder Computerprogramme im 
vorliegenden Kontext bedeuten ein Ausdruck in einer Spra- 
che, in einem Code oder in einer Notation von einem Satz 
Anweisungen, die ein System mit der Fahigkeit der Daten- 
verarbeitung veranlassen, eine bestimmte Funktion entwe- 
der direkt oder nach einem der folgenden Ereignisse oder 
nach beiden auszufuhrcn: a) Konverticrung in eine andere 
Sprache, einen anderen Code oder in eine andere Notation, 
b) Reproduktion in einer anderen Materialform. 

Patentanspriiche 

1. Ein Verfahren zum Einlesen eines Passworts (p) 
nach einer Anforderung von einem Programm (E), wo- 
bei das Verfahren folgende Schritte enthalt: 

- Empfangen eines programmspezifischen Iden- 
tifizierungszeichens (H(E)) vom Programm (E); 

- Empfangen des Passworts (p); 

- Erzeugen eines programm-/passwortspezifi- 
schen Identifizierungszeichens (F(H(E), p)) aus 
wenigstens dem programmspezifischen Identifi- 
zierungszeichen (H(E)) und dem cmpfangenen 
Passwort (p) und 

- Senden des programm-/passwortspezifischen 
Identifizierungszeichens (F(H(E), p)) an das Pro- 
gramm (E) zu senden, wobei das programm-/pass- 
wortspezifische Identifizierungszeichen (F(H(E), 
p)) von dem Programm (E) vcrarbcitct werden 
kann. 



DE 101 10 

11 

2. Das Verfahren gemaB Anspruch 1, wobei 

- das programmspezifische Idenufizierungszei- 
chen (H(E)) abgcleitct wurde, indcm eine crstc 
kryptographische Funktion (H) auf wenigstens ei- 
nen Teil des Codes von Programm (E) angewen- 5 
det wurde, und 

- das programm-/passwortspezifische Identifizie- 
rungszeichen (F(H(E), p)) erzcugt wird, indem 
cine zweite kryptographische Funktion (F) auf das 
programmspezifische Identifizierungszeichen 10 
(H(E)) und auf wenigstens einen Teil des empfan- 
genen Passworts (p) angewendet wird, wobei die 
erste kryptographische Funktion (H) bzw. die 
zweite kryptographische Funktion (F) eine Hash- 
Funktion enthalt, vorzugsweise eine One-Way- 15 
Hash-Funktion, zum Beispiel MD5 oder SHA-1. 

3. Das Verfahren gemaB Anspruch 1, wobei ein Pass- 
wortleseprogramm (26) und das programmspezifische 
Identifizierungszeichen (H(E)) mittels ciner Trusted 
Computing Base (TCB) bereitgestellt werden, wobei 20 
beide vorzugsweise dieselbe Trusted Computing Base 
(TCB) benutzen. 

4. Das Verfahren gemaB Anspruch 3, wobei das Pass- 
wort (p) im Passwortleseprograimn (26) empfangen 
wird, und alle E/A-Geratc wahrend der Ausfuhrung des 25 
Passwortleseprogramms (26) gesperrt und die anderen 
Programme wahrend dieser Zeit blockiert werden. 

5. Das Verfahren gemaB Anspruch 3, wobei die Tatsa- 
che, dass das Passwortleseprogramm (26) in der Tru- 
sted Computing Base (TCB) ausgefuhrt wird, iiber ein 30 
Signal angezeigt wird, was vorzugsweise iiber eine 
LED (28) erfolgt, die aufleuchtet, wahrend das Pass- 
wortleseprogramm (26) das Passwort (p) empfangt. 

6. Das Verfahren gemaB Anspruch 1, wobei das pro- 
gramm-/passwortspezifische Identifizierungszeichen 35 
(F(H(E), p, s)) von dem programmspezifischen Identi- 
fizierungszeichen (H(E)), dem empfangenen Passwort 
(p) und einem zusatzlichen Wert (s) erzeugt wird, wo- 
bei der zusatzliche Wert (s) ein Gerat (2) kennzeichnet, 

in dem das programin-/passwortspezifische Identifizie- 40 
rungszeichen (F(H(E), p, s)) erzeugt wird. 

7. Das Verfahren gemaB Anspruch 1, wobei das pro- 
gramm-/passwortspezifische Identifizierungskennzei- 
chen (F(H(E), p)) als Schlussel benutzt wird, urn ein 
anderes Programm zu entschlusseln. 45 

8. Ein Computerprogramm, das Programmcodemittel 
enthalt, urn die Schritte gemaB einem der Anspriiche 1 
bis 7 auszufuhren, wenn das Programm in einem Com- 
puter lauft. 

9. Ein Computerprogrammprodukt, das Programmco- 50 
demittel enthalt, die in einem computerlesbaren Me- 
dium gespeichert sind, um das Verfahren gemaB einem 
der Anspriiche 1 bis 7 auszufuhren, wenn das Pro- 
gramm in einem Computer lauft. 

10. Eine Computereinheit (2) zum Einlesen eines 55 
Passworts (p) nach einer Anforderung von einem Pro- 
gramm (E) mit 

- Eingabemitteln (14) zur Eingabe des Passworts 

(P); 

- Empfangermitteln (26), um ein programmspe- 60 
zifisches Identifizierungszeichen (H(E)) und das 
Passwort (p) zu empfangen, und 

- einem Generatormodul (22), das an die Emp- 
fangermittel (26) angeschlossen ist, um ein pro- 
gramm-/passwortspezifisches Identifizierungszei- 65 
chen (F(H(E), p)) von wenigstens dem eingegebe- 
ncn Passwort (p) und dem programmspezifischen 
Identifizierungszeichen (H(E)) zu erzeugen, wo- 
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bei das programm-/passwortspezifische Identifi- 
zierungszeichen (F(H(E), p)) von dem Programm 
(E) vcrarbcitet werden kann. 

11. Die Computereinheit (2) gemaB Anspruch 10, wo- 
bei das Generatormodul (22) ein Hash-Funktionsgene- 
rator ist, und das programmspezifische Identifizie- 
rungszeichen (11(E)) mittels des Generatormoduls (22) 
aus dem Programm (E) abgeleilet werden kann. 

12. Die Computereinheit (2) gemaB Anspruch 10, die 
des weiteren eine Trusted Computing Base (TCB) und 
Anzeigemittel (28) enthalt, die mit der Trusted Compu- 
ting Base (TCB) verbunden sind. 

13. Die Computereinheit (2) gemaB Anspruch 12, wo- 
bei das Anzeigemittel (28) ein Signal liefert, das einen 
sicheren Eingabemodus anzeigt, wahrend ein Pass- 
wortleseprogramm (26), das von der Trusted Compu- 
ting Base (TCB) bereitgestellt wird, ausfiihrbar ist. 
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